PoC Exploit Released for F5 BIG-IP Command Injection Vulnerability
PoC Exploit Released for F5 BIG-IP Command Injection Vulnerability
Security researchers have disclosed critical details about CVE-2025-20029, a command injection vulnerability in F5’s BIG-IP Traffic Management Shell (TMSH) command-line interface.
gbhackers.com
- 취약점 개요
- CVE-2025-20029: F5 BIG-IP의 트래픽 관리 셸(TMSH) 명령어 인터페이스에서 발견된 명령어 주입 취약점
- 인증된 공격자가 낮은 권한으로도 보안 제한을 우회하여 임의 명령을 실행하고 루트(root) 권한을 획득 가능
- PoC(Proof of Concept) 익스플로잇이 2025년 2월 24일 공개되어, 긴급 패치 필요
- 취약점 상세 설명
- TMSH 파서의 사용자 입력 처리 과정에서 발생
- 관리자 권한이 아닌 감사자(auditor)와 같은 비관리자 역할의 계정도 악성 명령어 주입 가능
- CLI(명령줄 인터페이스) 보안 샌드박스를 우회하여 운영체제(OS) 명령을 직접 실행할 수 있음
- 영향을 받는 버전: F5 BIG-IP v16.1.4.1 및 이전 버전
- 공격 성공 시 장비에 대한 완전한 제어 가능 (데이터 탈취, 네트워크 트래픽 가로채기, 측면 이동 가능)
- PoC 익스플로잇 방법론
- Github에 공개된 PoC는
save sys configTMSH 명령어를 이용 - 공격자는 쉘 메타문자를 사용하여 명령어를 두 부분으로 분리
- 정상적인 Common 구성 파티션 저장 작업
- Bash를 통한 임의 명령 실행
save sys config partitions { Common "\}; " bash -c id " ; \#" }
- TMSH의 구문 분석 약점을 활용
\};시퀀스를 사용해save명령을 조기에 종료bash -c id명령으로 현재 사용자의 ID 출력 (root 권한 확인 가능)
- Github에 공개된 PoC는
- 익스플로잇 조건
- TMSH 인터페이스(SHH 또는 iControl REST API)를 통한 접근 필요
- F5가 허용한 이진 파일만 사용할 수 있음 (예: bash, tcpdump)
- 타깃 파티션 이름(예: “Common”)이 유효해야 함
- 보안 권고
- F5 패치 적용: BIG-IP v16.1.4.2 이상으로 즉시 업그레이드
- TMSH 접근 통제: 필수 사용자에게만 권한 부여 및 역할 할당 점검
- 로그 모니터링: 비정상적인
save명령어 또는 파티션 수정 활동 감시 - 네트워크 보안 강화
- 네트워크 분할(세그멘테이션) 적용
- BIG-IP 관리 인터페이스에 다중 인증(MFA) 도입
- 결론
- PoC 공개는 패치 지연 시 네트워크 인프라 보안에 심각한 위협을 초래
- F5 BIG-IP를 로드밸런서, 방화벽, 애플리케이션 전달 서비스로 사용하는 조직은 해당 취약점을 최우선으로 해결해야 함
'Kant's IT > Vulnerability' 카테고리의 다른 글
| Parallels Desktop 0-Day 취약점, 루트 권한 상승 가능 (CVE-2024-34331) (0) | 2025.03.06 |
|---|---|
| Exim 메일 전송 취약점(CVE-2025-26794)으로 악성 SQL 주입 가능 (0) | 2025.03.06 |
| Nagios XI 취약점, 인증 우회로 사용자 정보 노출 (0) | 2025.03.04 |
| Fluent Bit 취약점으로 인한 클라우드 서비스 공격 위험 증가 (0) | 2025.03.04 |
| CISA, Microsoft Power Pages 취약점 KEV 목록에 추가 (0) | 2025.03.04 |